Rosyjscy hakerzy z grupy Diuków od 7 lat atakują Polskę. Dlaczego rząd ukrywa tę prawdę przed obywatelami?

Hakerzy z grupy „Diuków” (The Dukes) przez przynajmniej 7 lat gromadzili dane dotyczące polskiej polityki zagranicznej oraz obronnej. Działania Diuków były prowadzone od 2008 r. na rzecz Rosji – wynika z analiz firmy F-Secure, zajmującej się bezpieczeństwem informatycznym.

Diukowie prowadzili swoje działania na terenie Europy przynajmniej od 2008 r. Poza Polską, ataki skierowane były m.in. na instytucje publiczne w Czechach, na Ukrainie, w Gruzji, Kazachstanie, Kirgistanie, Azerbejdżanie i Uzbekistanie, a także indywidualne osoby przebywające na Węgrzech, w Belgii, Luksemburgu oraz Hiszpanii.

Działania hakerów były nastawione na gromadzenie danych dotyczących polityki zagranicznej oraz obronnej wybranych państw. Do ich celów należały takie organizacje, jak ministerstwa spraw zagranicznych, ministerstwa obrony, ambasady, parlamenty, kontrahenci wojskowi oraz think tanki.

Ataki były realizowane metodą „rozbij i łap”, która polega na szybkim, choć hałaśliwym włamaniu, po którym następuje gromadzenie i wydobywanie jak największej ilości danych. Jeśli okazało się, że zaatakowany cel był wartościowy, Diukowie szybko zmieniali pakiet narzędzi i przechodzili na bardziej dyskretną taktykę, skupiając się na trwałym dostępie i długofalowym gromadzeniu informacji.

W ramach operacji wykorzystywano m.in. specjalnie spreparowane, złośliwe dokumenty Worda i PDF, które wysyłano jako załączniki e-mail w celu zinfiltrowania wybranych organizacji. Oprogramowanie szpiegujące automatycznie rozpoczynało proces instalacji w momencie otwarciu plików. Treść przesyłanych dokumentów nawiązywała do ważnych, bieżących wydarzeń społecznych i politycznych, takich jak np. kryzys ukraiński, co zwiększało prawdopodobieństwo otwarcia, a tym samym skuteczność ataku.

Zdaniem ekspertów F-Secure Diukowie to najprawdopodobniej rosyjska grupa cyberszpiegowska, sponsorowana przez państwo. Z analiz sposobu działania oraz skali prowadzonych ataków wynika, że hakerzy posiadają rozbudowaną strukturę oraz mają zapewniony dostęp do stabilnych źródeł finansowania.

Cechą charakterystyczną organizacji jest także wyraźne lekceważenie informacji demaskujących część ich operacji. Zdaniem analityków F-Secure sugeruje to, że beneficjenci Diuków są tak wpływowi i tak ściśle powiązani z grupą, że hakerzy mogą działać bez obaw o ewentualne reperkusje. W ich opinii jednym beneficjentem mogącym zaoferować tak kompleksową ochronę jest rząd państwa, w którym operuje grupa.

Pomimo, że analitycy F-Secure nie mogą jednoznacznie przypisać żadnemu krajowi odpowiedzialności za działania Diuków, wszystkie dostępne poszlaki sugerują, że grupa operuje w imieniu Federacji Rosyjskiej. Co więcej, nie są obecnie znane żadne fakty, które podważałyby tę teorię.

Ponadto, analizy znaczników czasowych kompilacji wskazują, że twórcy złośliwego oprogramowania Duke pracują głównie od poniedziałku do piątku między 6.00 a 16.00 czasu UTC+0 . Odpowiada to godzinom pracy od 9.00 do 17.00 w strefie czasowej UTC+3, znanej też jako Moskiewski Czas Standardowy, która obejmuje m.in. większą część zachodniej Rosji, w tym Moskwę i Sankt Petersburg.

Analitycy F-Secure zwrócili również uwagę, iż pomimo, że Diukowie brali dotychczas na cel instytucje państwowe z całego świata, nigdy nie odnotowano ataków na podmioty związane z rządem rosyjskim.

Dodatkowe informacje na temat działalności grupy Diuków można znaleźć w dokumencie F-Secure Labs „The Dukes, 7 years of Russian Cyberspionage” dostępnym na stronie f-secure.com oraz f-secure.pl.

F-Secure – Switch on freedom

F-Secure to fińska firma specjalizująca się w bezpieczeństwie i ochronie prywatności w sieci. Oferujemy milionom osób na całym świecie możliwość niewidzialnego surfowania oraz bezpiecznego przechowywania i udostępniania treści. Jesteśmy tu, żeby walczyć o cyfrową wolność. Przystąp do ruchu i postaw na wolność.

Firma F-Secure, założona w 1988 roku, jest notowana na giełdzie NASDAQ OMX Helsinki Ltd.